内存取证-easy_mem_3

步骤

方法一：Memprocfs

在M:\forensic\findevil\findevil.txt中查找可疑进程。

筛选出Hmohgnsyc.exe。

在M:\forensic\csv\process.csv中获取进程相关信息，找到程序隐藏在ToDesk下。

或者在M:\sys\proc\proc-v.txt中找到相关目录。

然后在M:\forensic\files\ROOT\Users\h\AppData\Roaming\ToDesk\dev目录下打开程序属性找到版权。

或者在M:\name\Hmohgnsyc.exe-10504\modules\Hmohgnsyc.exe\versioninfo.txt中找到相关信息。

方法二：AXIOM+LoveMemlite

AXIOM在浏览器记录中发现下载过todesk等。

然后在lovememlite中打开进程列表，搜索hmo，发现该程序在todesk下。

flag：ctfshow{Hmohgnsyc.exe_todesk_jieba.net}